以太網(wǎng)交換培訓(xùn)演示文稿

以太網(wǎng)交換培訓(xùn)演示文稿目前一頁\總數(shù)四十七頁\編于十七點2023/5/23以太網(wǎng)交換培訓(xùn)目前二頁\總數(shù)四十七頁\編于十七點學(xué)習完此課程，您將會：掌握MAC、幀和VLAN的基本概念二層交換和三層交換的基本原理VLAN的擴展特性鏈路聚合的概念和配置目標目前三頁\總數(shù)四十七頁\編于十七點第1章幀、MAC的概念和二層轉(zhuǎn)發(fā)第2章VLAN的基本概念和原理第3章三層交換機架構(gòu)和轉(zhuǎn)發(fā)結(jié)構(gòu)和VLAN間路由第4章VLAN的擴展特性第5章鏈路聚合內(nèi)容介紹目前四頁\總數(shù)四十七頁\編于十七點OSI二層-數(shù)據(jù)鏈路層ApplicationPresentationSessionTransportIPDatelinkPhysicalApplicationPresentationSessionTransportIPDatelinkPhysical目前五頁\總數(shù)四十七頁\編于十七點常見的以太網(wǎng)Frame格式最早的以太網(wǎng)格式的定義規(guī)范，由DigitalequipmentCorp，Intel，Xerox發(fā)展,后來被發(fā)展成IEEE標準，叫ethernet(DIX),也叫ethernetV2(ARPA).(交換機和路由器的常用格式）EthernetV2(ARPA)MACDE(6byte)MACSA(6byte)Type(2byte)Data（46－1500byte）FCS(4byte)802.3標準，IEEE標準組織在1980s年代發(fā)展802.3MACDE(6byte)MACSA(6byte)Length（2byte)Data（46－1500byte）FCS(4byte)其它的以太網(wǎng)Frame格式包括：802.3+802.2(LLC),802.3+802.2+SNAP802.3MACDE(6byte)MACSA(6byte)Length(2byte)DSAP(1byte)SSAP(1byte)CONTROL（1-2byte)OUI(3byte)TYPE(2byte)DataFCS(4byte)802.2SNAP目前六頁\總數(shù)四十七頁\編于十七點Frame參數(shù)-MAC地址MAC地址Mediaaccesscontrol，也叫硬件地址。為了控制在共享的介質(zhì)的設(shè)備的訪問，必須定義一個規(guī)則。MAC地址作用主要有在共享介質(zhì)中唯一標識某臺設(shè)備。控制設(shè)備的訪問，當設(shè)備接受到一個Frame時，需要檢查DEMAC，如果是自己的MAC地址，就接受該Frame。MAC地址表示方法MAC地址是由48bit(6byte)組成，前3byte表示組織的唯一標識，后三位由該組織分配給每臺設(shè)備。00E0-FC79-405FHUAWEI設(shè)備標識Frame的種類：根據(jù)目的MAC的不同，可以分為三種幀，UnicastFrameBroadcast(全F，或者全0）multicastCisco設(shè)備的MAC地址（前3byte），常見的有：00000C,目前七頁\總數(shù)四十七頁\編于十七點Frame參數(shù)-TypeType

Type表示DATA里面封裝的報文類型，常見的類型有：Protocol16進制位IP0800ARP0806802.30000-05DC為了識別是EthernetII和802.3的幀，EthernetII的type域從1536（16進制位為600）開始，在802.3中，數(shù)據(jù)的長度小于或者等于1500（05DC)。目前八頁\總數(shù)四十七頁\編于十七點橋和以太網(wǎng)交換機橋和HUB的區(qū)別隨著網(wǎng)絡(luò)的快速發(fā)展，特別是本地局域網(wǎng)絡(luò)的發(fā)展，越來越多的設(shè)備需要互相訪問，同時需要連接到更長的距離。而傳統(tǒng)的以太網(wǎng)采用HUB進行連接，整個HUB就是一個沖突域，采用CSMA/CD機制來檢測和偵聽，所有的設(shè)備共享帶寬，網(wǎng)絡(luò)的帶寬利用率低，效率低；并且有距離的限制。而橋建立橋接表（MAC），不象HUB總是將幀發(fā)送到所有的端口，橋根據(jù)MAC表來決定向那個端口進行轉(zhuǎn)發(fā)。這樣橋的每個端口為一個沖突域，每臺設(shè)備將享用一個端口的帶寬。HUBframeBridgeframe查看MAC表所有的設(shè)備共享整臺HUB，共享帶寬??！獨占一個端口的帶寬?。?！目前九頁\總數(shù)四十七頁\編于十七點橋和交換機的區(qū)別橋和交換機都是一個廣播域，每個端口都是一個collision域，并都形成MAC表來指導(dǎo)幀轉(zhuǎn)發(fā)，不同點是：

1、交換機端口的數(shù)量多。

2、交換機上可以劃分VLAN來將整個廣播域分割為多個廣播域。

目前十頁\總數(shù)四十七頁\編于十七點MAC表的建立每臺交換機都需要建立MAC表，MAC表的建立過程是被動學(xué)習的過程：

1、每臺交換機都有cache來保存MAC表，指導(dǎo)幀的轉(zhuǎn)發(fā)，當交換機剛上電時，MAC表是空的。

2、交換機從端口接受一個幀的時候，將幀的原MAC和該端口記錄在MAC表中。通過不停的學(xué)習到所有連接到交換機端口的設(shè)備的MAC和相應(yīng)的端口，來建立一張完整的MAC表。3、當交換機轉(zhuǎn)發(fā)一個幀的時候，需要查看MAC表，如果MAC表沒有該幀的目的MAC，交換機將廣播該幀到所有的端口（除了接受該幀的端口）。PC1PC2PC30/10/20/3MAC1MAC2MAC3MAC表：MAC地址PORTMAC10/1MAC20/2MAC30/3目前十一頁\總數(shù)四十七頁\編于十七點兩種MAC表隨著VLAN的應(yīng)用，MAC表項有兩種定義：SVL(SHAREVLAN)

這種定義意味著在MAC表中每個MAC地址只能對應(yīng)一個VLAN.這樣會導(dǎo)致MAC地址學(xué)習錯誤。PC10/1PC20/20/30/4VLAN2VLAN30/10/2如圖：PC1訪問PC2必須經(jīng)過一臺路由器進行轉(zhuǎn)發(fā)，假設(shè)路由器在它的0/1端口將PC1的報文透傳到0/2端口，這樣交換機的0/4端口學(xué)習到PC1的MAC地址，由于交換機是SVL，此時交換機將替換掉（0/1，VLAN2）學(xué)習的表項為從（0/4，VLAN3）的表項。導(dǎo)致MAC表項出錯，PC2響應(yīng)時，router接受到PC2的響應(yīng)報文，從0/1轉(zhuǎn)發(fā)出去，此時交換機不能轉(zhuǎn)發(fā)幀到0/1，PC1不能接受到PC2的響應(yīng)報文。IVL（independentVLAN)

這種定義意味著在MAC表中，每個MAC可以對應(yīng)多個不同的VLAN。如圖：當ROUTER從0/2接受到PC2的響應(yīng)報文之后，從0/1轉(zhuǎn)發(fā)出去，交換機接受到這個幀之后，發(fā)現(xiàn)有（0/1,VLAN2）的表項，從0/1轉(zhuǎn)發(fā)出去。

現(xiàn)在所有的交換機都采用IVL建立MAC表。目前十二頁\總數(shù)四十七頁\編于十七點MAC表結(jié)構(gòu)1、動態(tài)MAC表交換機的MAC表通過被動學(xué)習VLAN端口的幀來動態(tài)建立，并為每個MAC地址設(shè)定一個計時器，如果在一定的時間內(nèi)沒有學(xué)習到MAC地址，該MAC將老化，重新學(xué)習。缺省的情況下，老化時間為300s。2、靜態(tài)MAC表通過手工配置靜態(tài)的MAC表項，靜態(tài)MAC表項默認是永久存在交換機中，也可以設(shè)置老化的時間3、MAC表的結(jié)構(gòu)MACADDVLANIDSTATEPORTINDEXAGETIMEMACADD:表示幀的sourceMAC。VLANID:端口所屬的VLAN。STATE:有兩個值：dynamicorstatic。PORTINDEX:接受幀的端口。AGETIME：表示MAC存活的時間。NOAGE:表示不老化。目前十三頁\總數(shù)四十七頁\編于十七點幀的封裝過程PC1:MAC1ANDIP1PC2:MAC2ANDIP20/10/2Pc1訪問PC2的幀的封裝過程，交換機上的兩個接口在同一個VLAN：1PC1發(fā)送ARP的請求報文，目的MAC是廣播地址，目的地址為IP2。FF-FF-FF-FF-FF-FF(DEMAC)MAC10806DATA2交換機接受到該幀，將端口、MAC1、VLAN放到MAC表項中，并向所有的接口0/2廣播。FF-FF-FF-FF-FF-FF(DEMAC)MAC10806DATA3PC2接受到這個ARP請求報文，發(fā)送ARP響應(yīng)報文，目的MAC為MAC1，原MAC為MAC2。MAC1MAC20806DATA4交換機從0/2接受到ARP響應(yīng)報文之后，將MAC2、0/2、VLAN添加到MAC表項中。并向端口0/1轉(zhuǎn)發(fā)該幀。5PC1知道了PC2的MAC地址，下一個幀的目的地址為MAC2。MAC2MAC10800DATAMAC1MAC20806DATA目前十四頁\總數(shù)四十七頁\編于十七點交換機性能指標之一：MAC表容量交換機存儲的MAC地址不是無限，它跟交換機的cache有密切的關(guān)系，不同類型的交換機有不同的MAC表項大小。MAC表項容量的大小也反映了該交換機的能力，是一個重要的性能指標。常見的交換機的MAC表的容量為：交換機類型MAC數(shù)量/VLAN/整機30264KS3026E8KS3026F16KS3526系列8KS3528G/P,S3552G/P/F12KS551516KS6503/S6506/S6506R32K/64K/64KS8505/S8508/S851264KNE40/NE8064KNE40E/NE80E64K目前十五頁\總數(shù)四十七頁\編于十七點交換機的安全：MAC表的安全1、MAC表項溢出由于交換機只是被動的學(xué)習原MAC，并且動態(tài)MAC地址老化時間為5分鐘，如果一個交換機的MAC表滿了，又不能達到老化的時間，交換機將不能學(xué)習到原MAC，導(dǎo)致交換機不能正常轉(zhuǎn)發(fā)。接在交換機端口下的一臺PC，通過發(fā)送原MAC不停變化的幀，當交換機接受到這些變化的幀之后，將添加到自己的MAC表中；一旦MAC表滿，交換機將不能處理正常的幀，導(dǎo)致不能轉(zhuǎn)發(fā)。同時產(chǎn)生大量廣播報文，導(dǎo)致交換機CPU繁忙。

解決辦法：如果發(fā)現(xiàn)MAC表中的一個端口下學(xué)習到大量MAC地址，表明交換機正在遭受攻擊，可以配置該端口下學(xué)習到MAC地址的數(shù)量，超過配置的數(shù)量的MAC將停止轉(zhuǎn)發(fā)。

mac-addressmax-mac-count[disalbe-forwarding]–端口模式下配置。2、原MAC欺騙黑客通過發(fā)送另外一臺攻擊的計算機的MAC地址為原地址的報文，路由器收到這個報文之后，將流量轉(zhuǎn)發(fā)給黑客，黑客將獲取到流向被攻擊的計算機流量，進一步分析之后，可以獲取到其它的重要信息（比如密碼、帳號。。）解決辦法：在路由器上作原MAC和IP的綁定，如果MAC和IP不一致，將丟棄該報文。目前十六頁\總數(shù)四十七頁\編于十七點交換機對幀的處理方式交換機對接受的幀有不同的處理方式：

1、storeandforwarding

這種模式在開始交換之前，檢查整個幀，如果幀出現(xiàn)錯誤，將丟棄該幀。

2、cut-through當交換機檢查到接受到該幀的目的MAC地址，進行轉(zhuǎn)發(fā)。即使幀出現(xiàn)了錯誤，交換機也會轉(zhuǎn)發(fā)，這樣當達到目的地時，被目的設(shè)備丟棄，浪費了帶寬。

3、Fragment－free

當交換機檢查幀的64位幀時，開始轉(zhuǎn)發(fā)。（64位幀即最小的幀）。目前十七頁\總數(shù)四十七頁\編于十七點問題幀的最小長度為多少？Hub、Bridge、交換機分別位于OSI中的哪層？在同一個VLAN中，如果MAC1學(xué)習到port1上，后來由于某種原因該MAC1學(xué)習到了PORT2，這時之前的mac表項還存在嗎？如果是在不同的VLAN下，MAC表項是什么樣的？目前十八頁\總數(shù)四十七頁\編于十七點第1章幀、MAC的概念和二層轉(zhuǎn)發(fā)第2章VLAN的基本概念和原理第3章三層交換機架構(gòu)和轉(zhuǎn)發(fā)結(jié)構(gòu)和VLAN間路由第4章VLAN的擴展特性第5章鏈路聚合內(nèi)容介紹目前十九頁\總數(shù)四十七頁\編于十七點VLAN的定義和劃分1、VLAN的定義VLAN(virtuallocalareanetwork),虛擬本地局域網(wǎng)。默認的交換機是一個廣播域，采用VLAN，可以將交換機邏輯上劃分為多個邏輯廣播域，各個VLAN之間不能訪問。通過手動配置邏輯將端口放到不同的VLAN中。2、VLAN的劃分基于端口的劃分。交換機常見的劃分方式，該方式靈活，不受終端物理位置的限制?；贛AC的劃分。根據(jù)交換機學(xué)習到的MAC，進行劃分；受物理位置的限制?；趨f(xié)議的劃分。根據(jù)端口學(xué)習的協(xié)議類型和封裝格式來劃分。可以用來劃分的協(xié)議為：IP,IPX,APPLETALE,類型有：ethernetII,802.3,802.3+LLC,等。主要應(yīng)用于網(wǎng)絡(luò)中提供的服務(wù)類型 來劃分，方便管理和維護。基于IP子網(wǎng)的劃分?；趹?yīng)用層的劃分。

目前二十頁\總數(shù)四十七頁\編于十七點VLAN的幀格式VLAN基于IEEE802.1Q標準，標準對普通的幀進行了修改，在原MAC地址和類型字段插入了4字節(jié)的802.1QTAG標記。DEMACSRMACTAG(4byte)TYPEDATAFCSType(2byte)PRI(3bit)CFI（1bit）VID（12bit）Type：表示幀的類型，0x8100是表示802.1Qtag幀，不支持該類型幀的設(shè)備，將丟棄該幀PRI：表示優(yōu)先級，取值范圍為0～7。CFI：用于令牌環(huán)和FDDI。VID：表示幀所屬的VLAN，取值為：0－4096。VRP中，VLAN0系統(tǒng)使用。實際可用的VID為1－4094。目前二十一頁\總數(shù)四十七頁\編于十七點VLAN端口的類型根據(jù)端口接入設(shè)備的類型，劃分了VLAN的端口分為幾種（默認的情況下所有的端口屬于VLAN1：1、Access端口配置了Access類型的端口，端口只能屬于一個VLAN。一般要來接入不能識別802.1Qtag的設(shè)備，比如主機。2、Trunk端口配置了Trunk類型的端口，該端口屬于多個VLAN，能識別帶Tag的幀,允許多個VLAN通過。一般接入識別802.1Qtag的設(shè)備。TrunkVLAN時，VLAN1默認被Trunk。3、Hybrid端口配置了Hybrid類型的端口，即能識別普通的幀（不帶Tag），也能識別帶Tag的幀。一般該端口即可接入交換機，也可以接入計算機。4、PVID(缺省VLAN)PVID：portVLANID.即端口的PVID。每個端口的類型都有PVID。Access：PVID和Access端口配置的VID一致。Trunk：Trunk端口本身的VID，可以配置，默認為1，和Trunk的VLAN沒有關(guān)系。AccessTrunkHybrid目前二十二頁\總數(shù)四十七頁\編于十七點VLAN幀的處理過程VLAN對幀的處理過程分三部分：1、接受過程接受到的幀可以是帶Tag的幀，也可以是不帶Tag的幀。Access端口接受到普通幀的時候，打上Access端口的VID。當接受到Tag幀的時候，比較PVID，如果VID和PVID相同，則接受，如果不同，則丟棄。Trunk端口和Hybrid端口接受到普通幀的時候，打上該端口的默認的PVID。當接受到帶Tag的幀時，查看端口允許的VID和該幀的VID，如果匹配，則接受；如果不匹配，查看VID和PVID是否相同，如果相同，則接受；否則，丟棄。2、查找轉(zhuǎn)發(fā)過程根據(jù)端口接受的幀的目的MAC、VID來查找MAC表，從相應(yīng)的端口轉(zhuǎn)發(fā)。3、發(fā)送過程端口發(fā)送的出去幀可以是帶Tag幀，也可以是不帶Tag的幀。當從Access端口發(fā)送幀時，將去掉幀的Tag，成為普通的幀。當從Trunk端口發(fā)送幀時：如果幀的VID和Trunk端口的PVID相同，將去掉Tag，發(fā)送該幀；如果幀的VID跟PVID不同，查看是否Trunk該VID，如果匹配則發(fā)送，否則丟棄。當從Hybrid端口發(fā)送幀時：如果幀的VID和Hybrid端口的PVID相同，去掉Tag，發(fā)送該幀。如果幀的VID跟PVID不同，查看是否Trunk了該VID，并根據(jù)配置情況來決定該幀發(fā)送是帶Tag還是不帶Tag。（porthybridvlan{tagged/untagged}

目前二十三頁\總數(shù)四十七頁\編于十七點VLAN幀的處理過程續(xù)PVID處理：VLAN2PVID=VLAN2VLAN2PVID=VLAN3……VID=2………………12……VID=3……3TRUNKACCESSACCESS目前二十四頁\總數(shù)四十七頁\編于十七點問題PVID的作用是什么？Access端口的PVID是多少？Trunk端口下的PVID是多少？當一個Trunk端口接受一個普通幀時，交換機如何處理？如果為acess端口，又如何處理？兩臺交換機之間Trunk多個VLAN，如果修改了其中一臺交換機的Trunk端口的PVID，會發(fā)生什么情況？目前二十五頁\總數(shù)四十七頁\編于十七點第1章幀、MAC的概念和二層轉(zhuǎn)發(fā)第2章VLAN的基本概念和原理第3章三層交換機架構(gòu)和轉(zhuǎn)發(fā)結(jié)構(gòu)和VLAN間路由第4章VLAN的擴展特性第5章鏈路聚合內(nèi)容介紹目前二十六頁\總數(shù)四十七頁\編于十七點提供VLAN間路由的設(shè)備默認情況下，不同的VLAN屬于不同的廣播域，不能相互訪問。為了提供VLAN間的訪問，必須提供不同VLAN來訪問的設(shè)備。對于這樣設(shè)備必須達到這樣的目的

1、提供IP報文轉(zhuǎn)發(fā)的功能。

2、提供讓不同物理位置VLAN間訪問的路徑。

3、能夠提供一些策略來控制訪問。能夠提供這些功能的設(shè)備有路由器和三層交換機。路由器路由器就是一種能夠提供IP報文轉(zhuǎn)發(fā)和控制，以及IP報文選路的設(shè)備，由專用的硬件和軟件組成。屬于三層功能的設(shè)備。三層交換機和路由器提供的功能一樣，在二層交換機的基層上，增加了三層的功能。目前二十七頁\總數(shù)四十七頁\編于十七點三層交換機和路由器的區(qū)別路由器和三層交換機：1、三層接口。路由器：支持多種低速率接口（同異步接口、ADSL、ISDN、E1等）和高速端口（ATM、Pos、FE、GE等）。每個接口都是一個廣播域，三層接口為物理接口，一個三層接口對應(yīng)一個物理接口。三層交換機：不支持低速率的端口，只支持高速端口，在中、低端口交換機上支持FE、GE，高端的三層交換機能夠支持ATM、POS。三層接口是邏輯的接口（VLANIF)，一個三層接口支持多個物理接口。2、硬件結(jié)構(gòu)路由器：數(shù)據(jù)平面和控制平面都使用CPU。三層交換機：數(shù)據(jù)平面采用ASIC來轉(zhuǎn)發(fā)，提供更高的性能和轉(zhuǎn)發(fā)速率。3、報文轉(zhuǎn)發(fā)處理路由器：基于逐包處理，接受到每個報文，都進行查找，再進行轉(zhuǎn)發(fā)（低端的路由器）。三層交換機：對于到目的地址第一個包，在processor進行查找，，后續(xù)的報文直接從轉(zhuǎn)發(fā)引擎中轉(zhuǎn)發(fā)。隨著技術(shù)的不斷發(fā)展，現(xiàn)在高端的路由器和交換機的硬件結(jié)構(gòu)非常相同。目前二十八頁\總數(shù)四十七頁\編于十七點三層交換機的架構(gòu)三層交換機采用數(shù)據(jù)平面和控制平面分離的架構(gòu)，來提高數(shù)據(jù)交換的能力。processorASICSwitchfabric架構(gòu)示意圖：控制平面和系統(tǒng)管理；

1、路由協(xié)議、STP,ARP,ICMP,IGMP,VRRP等2、系統(tǒng)的管理數(shù)據(jù)轉(zhuǎn)發(fā)平面

1、二層和三層的轉(zhuǎn)發(fā)。

2、ACL，Qos標記和策略、組播復(fù)制、端口鏡像。

3、端口ASIC：隊列調(diào)度、擁塞管理和避免，tagging，端口聚合，廣播抑制。連接各個端口和模塊SWITCHFABRICSLOT1SLOT2SLOT3SLOT4目前二十九頁\總數(shù)四十七頁\編于十七點交換結(jié)構(gòu)共享式存儲交換結(jié)構(gòu)ForwardingengineerSwitchmoduleSwitchmoduleSwitchmoduleSharingmemory緩存發(fā)生在交換引擎中。報文存在在共享內(nèi)存里。共享總線式的交換結(jié)構(gòu)ForwardingengineerSwitchmoduleSwitchmoduleSwitchmodule緩存發(fā)生在交換模塊中，不是在引擎里在一個給定的時間內(nèi)，只有一個模塊訪問引擎。適合組播和廣播流量最早的結(jié)構(gòu)。目前三十頁\總數(shù)四十七頁\編于十七點交換結(jié)構(gòu)(續(xù))交換矩陣結(jié)構(gòu)－集中式轉(zhuǎn)發(fā)CrossbarForwardingengineerSwitchmoduleSwitchmoduleSwitchmodule模塊之間存在多條路徑非常高的帶寬交換能力。信令和調(diào)度更加復(fù)雜。交換矩陣結(jié)構(gòu)－分布式轉(zhuǎn)發(fā)CrossbarPrimaryForwardingengineerSwitchModulewithForwardingEngineerSwitchModulewithForwardingEngineerSwitchModulewithForwardingEngineer目前三十一頁\總數(shù)四十七頁\編于十七點轉(zhuǎn)發(fā)表結(jié)構(gòu)RouterProcessorSwitchmoduleSwitchmoduleSwitchmoduleASIC精確路由查找IPprefixNexthop10.44/1610.4.1.1viagi1/110.33.1/2410.33.1.1viafe1/10/010.1.1.1viagi3/1SIPDIP10.3.3.310.44.1.110.4.4.410.33.1.1010.5.5.510.2.2.21、基于流進行轉(zhuǎn)發(fā)。2、第一個報文經(jīng)過processor轉(zhuǎn)發(fā)。3、后續(xù)的報文經(jīng)過ASIC轉(zhuǎn)發(fā)。4、查找基于原地址/目的地址的精確路由查找。目前三十二頁\總數(shù)四十七頁\編于十七點轉(zhuǎn)發(fā)表結(jié)構(gòu)（續(xù)）RouterProcessorSwitchmoduleSwitchmoduleSwitchmoduleASIC最長匹配IPprefixNexthop10.44/1610.4.1.1viagi1/110.33.1/2410.33.1.1viafe1/10/010.1.1.1viagi3/11、Processor建立IPforwarding表。2、Processor將FIB表復(fù)制到ASIC上。3、FIB報文的查找基于最長匹配原則。4、報文都是經(jīng)過硬件轉(zhuǎn)發(fā)。5、控制平面不進行流量的轉(zhuǎn)發(fā)，專注于協(xié)議進程。FIBIPprefixNexthop10.44/1610.4.1.1viagi1/110.33.1/2410.33.1.1viafe1/10/010.1.1.1viagi3/1FIB目前三十三頁\總數(shù)四十七頁\編于十七點二層和三層交換機的識別華為交換機有中低端二層交換機和三層交換機，以及高端的三層交換機。從交換機的命令通?？梢钥闯鍪嵌咏粨Q機還是三層交換機。一般交換機都有一個幾位數(shù)字（一般是4位）來表示交換機的型號，如果從左到右的第二個數(shù)字是“5”表示三層交換機，如果不是就表示二層交換機，第一個數(shù)字表示交換機的等級，等級越高，表明交換機的性能越好；后面的兩位表示交換機的端口，端口一般是12、24的倍數(shù)，如果大于12或者是24，比如26，那么該交換機一般支持2個GE模塊。這種規(guī)則適合大多數(shù)產(chǎn)家的設(shè)備。常見的交換機以及它們的架構(gòu)為：交換機類型交換機類型交換結(jié)構(gòu)3026二層交換機S3026E二層交換機S3026F二層交換機S3526系列三層交換機共享式存儲S3528G/P,S3552G/P/F三層交換機共享式存儲S5515三層交換機共享式存儲S6503/S6506/S6506R三層交換機共享式總線S8505/S8508/S8512三層交換機crossbar分布式－分布轉(zhuǎn)發(fā)目前三十四頁\總數(shù)四十七頁\編于十七點VLAN間路由VLAN2VLAN31、使用三層交換機IP1IP1-1IP2-1IP22、使用路由器MAC2MAC1IP1IP2MAC1MAC2MAC2MAC3MAC3MAC2IP1IP212由于路由器的每個物理端口都屬于一個廣播域，當多個VLAN要通過路由器來互通時，需要在路由上配置多個接口；可以通過在交換機互連路由器的端口配置Trunk，TrunkVLAN2和VLAN3,然后在路由的接口上封裝802.1Q，將一個物理端口配置兩個邏輯的子接口，分別封裝VLAN2和VLAN3.經(jīng)過三層交換時，幀中的原MAC和目的MAC在每段上都變化了。對于交換機的三層接口使用一個MAC。目前三十五頁\總數(shù)四十七頁\編于十七點問題不同的VLAN之間用戶如何進行相互通信？從源到目的地址的報文頭和幀頭中，什么不會變化？什么發(fā)生變化？目前三十六頁\總數(shù)四十七頁\編于十七點第1章幀、MAC的概念和二層轉(zhuǎn)發(fā)第2章VLAN的基本概念和原理第3章三層交換機架構(gòu)和轉(zhuǎn)發(fā)結(jié)構(gòu)和VLAN間路由第4章VLAN的擴展特性第5章鏈路聚合內(nèi)容介紹目前三十七頁\總數(shù)四十七頁\編于十七點VLAN的擴展特性一：superVLANSuperVLAN：每個VLAN的用戶如果需要訪問外部，該VLAN中的用戶必須配置網(wǎng)關(guān)地址，對應(yīng)與該VLANIF接口，當大量的VLAN應(yīng)用時，需要大量的IP地址，特別是對于公網(wǎng)地址，更是緊缺；為了節(jié)省IP地址，使用SuperVlan，對外訪問提供一個IP地址。SuperVLAN中的用戶VLAN為subVLAN。

為了實現(xiàn)subVLAN之間的訪問，需要在subVLAN下配置ARPProxy來實現(xiàn)。SuperVLAN不能包含端口。VLAN1VLAN2VLAN3VLAN4SUPERVLAN5IP3/MAC3優(yōu)點：節(jié)省IP地址缺點：由于開啟了ARPProxy，VLAN之間可以訪問，相當于所有的VLAN屬于一個廣播域。ARPProxy：

1、PC1訪問PC2，發(fā)送ARP請求報文給網(wǎng)關(guān)（SuperVLAN)。

PC1MAC1PC2MAC2全FFMAC1IP1IP22、交換機接受PC1的ARP請求報文報文之后，將自己使用自己的MAC地址發(fā)送ARP響應(yīng)報文給PC1。MAC1MAC3IP2IP1配置VLAN6和路由器互連，來實現(xiàn)和外面通訊！VLAN6目前三十八頁\總數(shù)四十七頁\編于十七點VLAN的擴展特性二：ISOLATE-USER-VLANIsolate-user-VLAN特性：

Isolate-user-VLAN采用二層VLAN的結(jié)構(gòu)，在同一臺設(shè)備上設(shè)置Isolate-user-VLAN和secondaryVLAN，一個Isolate-user-VLAN包括多個secondaryVLAN，對于上層設(shè)備只知道Isolate-user-VLAN，而不知道Isolate-user-VLAN里面的secondaryVLAN。應(yīng)用場景：

1、上行設(shè)備支持的VLAN數(shù)量有限，下行設(shè)備存在多個VLAN。

2、IP地址數(shù)量有限。配置使用：

1、Isolate-user-VLAN只使用與上行設(shè)備連接的接口。

2、Isolate-user-VLAN不能和Trunk端口同時配置。

3、secondaryVLAN用于多個不同業(yè)務(wù)和用戶。

4、一個Isolate-user-VLAN可以對應(yīng)多個secondaryVLAN，最多30個secondaryVLAN。

5、Isolate-user-VLAN和secondaryVLAN建立映射關(guān)系之后，不能進行端口的添加和刪除。目前三十九頁\總數(shù)四十七頁\編于十七點VLAN的擴展特性二：ISOLATE-USER-VLAN應(yīng)用應(yīng)用場景：多臺S3026都下掛了大量的VLAN，上行連接到路由器來和外面通訊。如果按照正常的配置，路由器需要配置大量的子接口；性能和可靠性低，并且路由器支持的子接口數(shù)量也有限。多臺S3026都下掛了大量的VLAN，上行使用三層交換機，下面的VLAN數(shù)量超過了三層交換機的支持的VLAN數(shù)量。解決的方案：使用Isolate-user-VLAN特性，將一個Isolate-user-VLAN對應(yīng)多個VLAN(<30)；

Isolate-user-VLAN和secondaryVLAN在一個子網(wǎng)內(nèi)。當secondaryVLAN的發(fā)送報文給Isolate-user-VLAN時，交換機內(nèi)部維護一張映射表，將secondaryVLAN的VID替換成Isolate-user-VLAN的VID。報文返回時，交換機做同樣的操作。LSW01LSW02LSW03LSW0N。。。。。。VLAN2VLAN3VLAN4VLAN5VLAN100VLAN101VLAN102VLAN103VLAN200VLAN201VLAN202VLAN203目前四十頁\總數(shù)四十七頁\編于十七點SuperVLAN和ISOLATE-USER-VLAN的比較相同點

1、對外均提供一個IP，可以大量節(jié)約IP地址。

2、superVLAN和subVLAN，ISOLATE-USER-VLAN和secondaryVLAN必須都在一個子網(wǎng)中。不同點

1、superVLAN使用ARPProxy實現(xiàn)subVLAN之間的訪問。Isolate-user-vlan的secondaryVLAN之間如果需要訪問，需要配置在一個VLAN中。

2、superVLAN不包含端口，所有的subVLAN的端口都屬于superVLAN。Isolate-user-VLAN必須包括上行的端口。

3、對外訪問時，superVLAN的上行接口需要另外配置VLAN來和上行設(shè)備互通，superVLAN使用ARPproxy實現(xiàn)訪問。Isolate-user-VLAN維持primary-VLAN和secondary的映射表，進行VID的替換來實現(xiàn)primaryVLAN和secondaryVLAN的互通。

目前四十一頁\總數(shù)四十七頁\編于十七點VLAN配置1、配置VLAN[quidway]vlanid2、VLAN描述

[quidway-vlan]descriptionstring3、VLAN命名[quidway-vlan]namestring4、添加端口

[quidway-vlan]portinterface-list(端口添加之后，端口為access）5、創(chuàng)建VLAN接口

[quidway]interfacevlanid

6、配置Trunk端口、端口的PVID、Hybrid端口

[quidway-interfacenumber]portlink-typetrunk/hybrid

[quidway-interfacenumber]porttrunk/hybridpvidvlan-id[quidway-interfacenumber]porttrunkpermitvlan{vlan-id-list|all}[quidway-interfacenumber]porthybrid